El complemento Happy Addons para Elementor en WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo ‘url’ dentro del widget de encabezado degradado del complemento en todas las versiones hasta, e incluyendo, la 3.11.1 debido a una insuficiente sanitización de la entrada y escape de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben asegurarse de actualizar el complemento Happy Addons para Elementor a la versión 3.11.2 o superior para mitigar este riesgo de seguridad. Además, se recomienda a los usuarios restringir el acceso de los roles de contribuidor y superiores para prevenir que atacantes aprovechen esta vulnerabilidad.
Es crucial que los propietarios de sitios web que utilicen el complemento Happy Addons para Elementor tomen medidas inmediatas para proteger sus sitios de posibles ataques de Cross-Site Scripting. Mantener el complemento actualizado y limitar el acceso de los usuarios a roles con privilegios elevados son pasos importantes para garantizar la seguridad de su sitio web.